Nach der Safe Harbor-Entscheidung: Ist der Transfer personenbezogener Daten in die USA erledigt?
Der EuGH hat im Urteil v. 6.10.2015 den Datentransfer in die USA auf der Grundlage der „Safe Harbor Prinzipien“ für unzulässig erklärt ("Safe-Harbor" gewährleistet kein ausreichendes Datenschutzniveau). Es stellt sich die Frage, ob damit der Datentransfer in die USA insgesamt erledigt ist, denn die wesentlichen Feststellungen des EuGH, insb. das Argument, dass sich die US-amerikanischen Unternehmen auf der Grundlage des geltenden Rechts mit bindenden gesetzlichen Anweisungen zur Offenbarung der gespeicherten Daten konfrontiert sehen, die Vorrang vor den dazu im Widerspruch stehenden datenschutzrechtlichen Pflichten zur Sicherung dieser Daten haben, gelten auch bei Verwendung der sog. Standardvertragsklauseln oder ggf. sog. Binding Corporate Rules, sofern diese eine Datenübermittlung in die USA ermöglichen sollen (siehe Moos/Schefzig, CR 2015, 625 - 633).
Zwar hat der EuGH nur über die Safe Harbor Grundsätze entschieden, so dass die Entscheidung keine direkte Auswirkung auf die Standardvertragsklauseln/Binding Corporate Rules haben kann, deren Gültigkeit durch diese Entscheidung grundsätzlich nicht in Frage gestellt ist. Außerdem hat der EuGH klar gestellt, dass die Kontrollstellen der Unionsmitgliedstaaten nicht befugt sind, die Ungültigkeit von Unionsrechtsakten festzustellen, wozu natürlich auch die Standardvertragsklauseln gehören.
Man könnte die Argumentation des EuGH möglicherweise dahingehend verstehen, dass die nationalen Kontrollbehörden im Einzelfall sehr wohl einen Datentransfer auf der Grundlage der Standardvertragsklauseln bzw. der Binding Corporate Rules untersagen dürfen, wenn sie zu der Auffassung gelangen sollten, dass ein angemessenes Schutzniveau auf diese Weise im Einzelfall z.B. in den USA nicht erreicht werden kann. Das EuGH-Urteil ist angesichts des Streitgegenstands „Safe Harbor“ nicht ganz klar. Die Ausführungen zu den Pflichten der EU-Kommission und den Befugnissen der Kontrollbehörden sind jedoch klar. Aufgrund der hohen grundrechtlichen Sensibilität der Fragestellung ist eine derartige Auslegung mindestens zulässig bzw. drängt sich in gewisser Weise auf.
Selbst wenn man diese Auffassung nicht teilen wollte, besteht aber die konkrete Gefahr, dass in absehbarer Zeit ein ähnlicher Rechtsstreit vor den EuGH gelangt, bei dem der Datentransfer in die USA auf die Standardvertragsklauseln/Binding Corporate Rules gestützt wurde. In Anbetracht der eindeutigen Argumentation des EuGH im vorliegenden Fall bestehen keine Zweifel daran, dass der EuGH einen auf die Standardvertragsklauseln/Binding Corporate Rules gestützten Datentransfer in die USA ebenfalls für grundrechtswidrig und damit für ungültig erklären würde, sofern der US-amerikanische Gesetzgeber nicht bis dahin die Eingriffsmöglichkeiten der Geheimdienste und das Datenschutzrecht in den USA generell und grundlegend im Sinne eines gegenüber der EU gleichwertigen Schutzes angepasst haben sollte. Davon, dass es in den USA kurzfristig zu derartigen grundlegenden Rechtsänderungen kommen wird, ist aufgrund der bisherigen Erfahrungen nicht auszugehen.
Abhängig von den Reaktionen der Datenschutzbehörden könnte es daher passieren, dass der Datentransfer in die USA durch dieses Urteil sowohl für Altverträge als auch für neue Geschäftsprozesse nicht mehr möglich ist. Die Alternativen – Einwilligung, Binding Corporate Rules, Standardvertragsklauseln – können evtl. den nötigen Vertrauensschutz für eine Übergangszeit bewirken. Allerdings erscheint dies allenfalls kurzfristig noch als Brücke/Krücke tauglich.